이메일의 첨부파일이나 URL 링크를 통해 사용자 PC에 악성코드를 감염시키는 공격을 스피어피싱(Spear-phishing)이라고 한다. 업무와 관련된 이메일로 위장한 후 첨부파일에 악성코드를 심거나 사용자가 평소에 관심을 갖고 있는 내용을 소개하면서 특정 URL로 유인하는 등이 공격이 널리 알려졌다.
스피어피싱이 한 단계 더 진화했다. 이메일에 임베디드된 URL을 통해 사용자 PC를 감염시키는 방식이다. 즉 메일서버를 통과하는 시점에는 안전한 웹페이지였다가 사용자가 클릭하는 시점에 악성코드나 악성링크를 삽입한다.
웹센스가 17일 발표한 ‘최신의 지능형 타깃 공격, 스피어 피싱의 대응 방안’에 따르면 해커들은 정상적인 이메일 주소로 피싱 이메일을 전송해 발신자 이메일 평가로 차단할 수 없게 했다. 또한 피싱 이메일에 스팸에서 주로 사용되는 단어 조합이 들어있지 않아 어휘 분석도 소용없었다. 멀웨어(악성코드)가 이메일 본문 내에 포함된 것이 아니라 난독화된 스크립트로 웹 페이지를 통해 전송돼 안티바이러스(악성코드 탐지) 솔루션이 제 기능을 하지 못했다.
이 방식을 이용해 2011년 4월 사이버 보안 관련 연구인 오크릿지 국립연구소(Oak Ridge National Laboratory) 직원 57명이 인터넷 익스플로러(IE) 내에서 제로 데이 취약성을 공략하는 악성 링크를 클릭했고, 소셜 시큐리티 번호와 생년월일이 노출됐다. 마케팅 기업 엡실론(Epsilon)과 보안업체인 RSA도 유사한 공격을 받아 민감한 정보가 노출되는 사건이 발생했다.
웹 인텔리전스·클릭 시점 위협분석 필수
웹센스는 이러한 공격을 차단하기 위해 이메일 보안 게이트웨이 내부에 웹 인텔리전스를 수립해야 하며, 클릭 시점의 위협 분석이 필요하다고 주장했다.
피싱 공격이 성공하는 주원인은 피싱 이메일이 동적-IP 봇넷이나 동적 코드를 호스트하는 웹사이트에 연결돼 있는 임베드된 링크를 포함하고 있어 동적 IP-봇넷이나 동적 코드는 강력한 게이트웨어 멀웨어(악성코드) 분석도 무력화시킬 수 있다.
예를 들어 자정에 전송된 이메일이 어떤 웹 페이지로의 링크를 담고 있는데 이것이 게이트웨이에서 최초 위협 탐색 시에는 무해한 것으로 나타난다. 그런데 그 다음날 사용자가 그 링크를 클릭할 때는 해당 웹 페이지에 악성 코드가 삽입됐을 수 있다. 이러한 공격 모델을 사용해 전송되는 멀웨어가 매주 평균 700건 이상인데 업계 최고의 안티바이러스 솔루션으로도 탐지할 수가 없다.
따라서 클릭 시점의 실시간 분석으로 URL을 포함하고 있는 의심되는 이메일을 분류하고 샌드박스를 실행해 보안 위험을 감소시키며 오탐을 감소시키고 사용자 경험을 저해하지 않아야 한다.
데이터 전송의 실시간 분석
해커들은 임의의 데이터가 아닌 특정 데이터를 입수하려 한다. 지적 재산, 제품 로드맵, 비즈니스의 성공에 핵심적인 기타 모든 데이터 등이 그 예이다. 조직들은 이메일 인프라 및 태블릿과 스마트폰 등의 데이터 접근 기기들에 추가 방어선을 구축해 정보의 흐름을 감시하고 데이터 유출을 예방해야 한다.
이를 위해 외부로 나가는 모든 데이터를 분석해 민감한 데이터를 자동으로 차단, 검역, 암호화하고 중요한 정보가 소량으로, 꾸준하게 유출되고 있음을 나타내는 패턴이 있는지 감시한다.
최신 보안 솔루션을 구축했더라도 사용자가 사이버 보안을 실천하지 않는다면 무용지물에 불과하다. 오늘날은 사용자의 사생활과 직장 생활의 구분이 모호해졌고, 구분 자체가 없어졌다고 봐도 무방하다.
사용자가 직장에서는 제대로 보호를 받지만 집에 있으면서 회사 제공 노트북으로 개인 이메일을 확인할 때는 무방비 상태가 되는 것이다. 해커들이 사용하는 전략과 전술에 대해 조직 내에서 경각심을 불러일으켜 사용자들이 ‘보안을 항시 고려’하도록 독려해야 한다.
실제 발생한 피싱 공격의 예를 활용해 직원들을 교육시키고 예제로 사용한 피싱 이메일에 속아 넘어간 직원들에게는 즉각적이고도 집중적인 피드백과 훈련을 받을 수 있는 기회를 제공해야 한다고 웹센스의 보고서는 제안했다.
